Immer mehr Menschen sind heute per Smartphone oder Tablet-PC jederzeit mit allem und jedem verbunden, was das Privatleben und die Geschäftswelt verändert. Doch der Always-On-Trend hat unerwünschte Nebenwirkungen, denn die Zahl bösartiger Angriffe auf mobile Endgeräte steigt exponentiell. Insbesondere Geräte, auf denen das Android-Betriebssystem installiert ist, sind aufgrund ihrer Beliebtheit ein bevorzugtes Angriffsziel von Cyberkriminellen. Laut dem US-Marktforscher Gartner liegt der Anteil von Android im Markt für mobile Betriebssysteme bei 56 Prozent.
Android-Malware legt rasant zu
Der "Mobile Threat Report Q1 2012" des finnischen IT-Sicherheitsanbieters F-Secure konstatiert einen dramatischen Zuwachs der Angriffsraten auf das Android-Betriebssystem. Im ersten Quartal 2012 verzeichneten die IT-Security-Spezialisten der F-Secure-Labs 37 neue Malware-Familien und -Varianten für Android. Das sind fast viermal mehr als im Vergleichsquartal des Vorjahres. Dort gab es "nur" zehn neue Familien und Varianten.
Im dritten Quartal 2011 hatten die Forscher sogar 52 neue Malware-Familien oder -Varianten enttarnt. Beim Symbian-Betriebssystem stieg die Zahl der Neuentdeckungen vom ersten Quartal 2011 bis zum Ende des ersten Quartals 2012 nur von sechs auf zwölf. Für Pocket PC- und J2ME-Plattformen wurden in den ersten drei Monaten des laufenden Jahres keine neuen Familien entdeckt.
Zugleich schoss die Anzahl Android Application Packages (.apk-Dateien), in denen Malware versteckt ist, im ersten Quartal 2012 auf 3063 nach oben. Zum Vergleich: Im ersten im ersten Quartal 2011 waren es erst 139. Dateien im .apk-Dateiformat werden in der Regel für die Installation von mobilen Apps oder Middleware verwendet.
Die Forscher der F-Secure-Labs sehen in der hohen Zahl schädlicher Anwendungspakete ein Indiz, um in der Antiviren-Software die Funktionen für die Entdeckung von Viren-Signaturen zu umgehen.
Profit-orientierte Bedrohungen nehmen zu
Online-Kriminelle fokussieren sich bei der Programmierung mobiler Malware darauf, ihren potentiellen Opfern unbemerkt das Geld aus der Tasche zu ziehen. Bezogen auf die Gesamtheit mobiler Schadsoftware für Android stieg der Anteil solcher Profit-orientierter mobiler Bedrohungen binnen eines Jahres von 13 Prozent auf 34 Prozent.
Um ihre Malware auf den Marktplätzen und dann auf den mobilen Endgeräten einzuschleusen, gehen die Cyberkriminellen immer raffinierter vor. Zum einen verbessern sie laufend ihre Techniken, mit denen sie neue Malware vor der Entdeckung schützen. Zum anderen sondieren sie neue Methoden zur Infizierung von Android-Geräten.
So werden vorhandene Schadsoftware-Familien wie Droidkungfu, Ginmaster oder Fakeinst umbrella mit Verschlüsselungs- und Verteilungstechnologien ausgestattet oder der Schadcode in einer Bilddatei versteckt wie bei FakeRegSMS. Ebenso gestalten Malwareentwickler ihre Schädlinge zunehmend mit bereits trojanisierten Applikationen.
Gefahr durch SMS
Die Mehrheit der entdeckten und auf Profit angelegten Android-Malware versendet ohne Wissen der Nutzer SMS-Nachrichten über teure Premium-Dienste oder sie greift auf Pay-Angebote zu. Immer häufiger wird die Schadsoftware dabei an beliebte Apps gekoppelt, die von Usern in App-Stores bedenkenlos heruntergeladen werden. Die F-Secure-Forscher erwähnen hier explizit das Spiel "Angry-Birds-Space" von Rovio.
Die Malware-Experten von F-Secure zeigen im Mobile Threat Report auch die Funktionsweise diverser Schadcodes in der Praxis auf.
Wie Trojaner Android-Apps kapern
Ein signifikanter Fund war in diesem Quartal die Entdeckung des Trojaners FakeToken.A-Trojaner, der sich als Token Generator für eine mobile Banking-App ausgibt. Er wurde ursprünglich als Variante des Fakeinst-Trojaners entdeckt, hat sich aber in eine neue und mit diesem verwandte Malware-Familie verwandelt.
Der Trojaner RootSmart.A infiziert Android mit einem Root Exploit, der dann weitere Schadprogramme auf das Gerät herunterladen kann. Die Bot-Komponente der Malware empfängt Kommandos von einem fremden Server, mit denen Angreifer unberechtigt Telefonate durchführen, Nachrichten über Premium SMS-Nachrichtendienste versenden oder auf Pay-per-View-Videos zugreifen können.
Der Trojaner DroidKungFu.H kapert User-Privilegien im Betriebssystem und kann die Systemkonfiguration verändern. Um sich einzuschleusen, benötigt er lediglich einen Service in einer Applikation wie Angry Birds Space, die bereits mit einem Trojaner verseucht ist. Diese Schadsoftware kann nicht, wie sonst üblich, durch die Deinstallation der befallenen App vom Mobilgerät entfernt werden.
Multi-Komponenten-Malware beliebt
Stiniter.A wiederum ist eine Multi-Komponenten-Malware, die eine sehr komplexe Infektionstechnik verwendet. Die Schadsoftware besteht aus drei .apk-Dateien und einer nativen Komponente. Letztere benötigt keinen generischen oder binären Exploit, um sich auf einem Android-Gerät zu installieren. Zudem kann schon jedes der drei APK-Programme alleinstehend als Malware in Form eines Service fungieren. Damit können unberechtigt SMS versendet oder sensible Nutzerdaten von einem Mobilgeräte gesammelt und an den Angreifer weitergegeben werden.